Cookie / Süti tájékoztató
Kedves Látogató! Tájékoztatjuk, hogy a weboldal működésének biztosítása, látogatóinak magasabb szintű kiszolgálása, látogatottsági statisztikák készítése, illetve marketing tevékenységünk támogatása érdekében cookie-kat alkalmazunk. Az Elfogadom gomb megnyomásával Ön hozzájárulását adja a cookie-k, alábbi linken elérhető tájékoztatóban foglaltak szerinti, kezeléséhez.
Elfogadom
Nem fogadom el
2017.11.01

Megmutatjuk, hogyan verhetik át hamis OTP bankos címmel a Facebookon

Ki gyanakodna gyanús tartalomra, ha mondjuk, például hazánk nagy kereskedelmi bankjának a hirdetményét pillantja meg a Facebookon? Látszólag bonyolult programozói feladatról van szó, pedig könnyen átláthatjuk a Makay.net kiberbiztonsági cég által bemutatott módszer működését. A támadási technikával megszerezhetik a gyanútlan internetezők adatait (például bankkártya adatait, belépési azonosítóit) vagy manipulációra használhatják, akár célzott, egy-egy személy ellen irányuló formában.

A megoldás a Facebook egyik sebezhetőségére épít.

A Facebook feltárt hibájára Barak Tawily hívta fel a figyelmet. Kiderült, hogy a közösségi oldal annak a weboldalnak a tartalmát és webcímét tölti be előnézetként a megosztásnál, ami a megosztott weboldal og:url fejléc-paraméterében szerepel. A többi og: paraméter „sajnos” nem befolyásolja az előnézetet.

Megmutatjuk, hogyan verhetik át hamis OTP bankos címmel a Facebookon

Forrás: www.hirado.hu

A Facebook nem ellenőrzi a megosztott webcím és az og:url paraméterben megadott webcím egyezését, hanem minden fennakadás nélkül betölti az utóbbinak a tartalmát.

Magyarán szólva: ha a kibertámadó például létrehoz egy OTP kártyaadatok bekérésére és ellopására létrehozott adathalász oldalt, aminek a kódjában teszem azt „https://www.otpbank.hu/” értékkel elhelyezi az og:url paramétert, akkor a támadó oldal facebookos megosztásánál a hivatalos OTP Bank webcíme és előnézete töltődik be.

Megmutatjuk, hogyan verhetik át hamis OTP bankos címmel a Facebookon

Forrás: www.hirado.hu

Próbaképpen kattintsuk meg a teszt kedvéért a Makay.net által létrehozott https://makay.net/teszt.html lapot. A tényleges Makay.net tesztoldal itt található.

A tesztoldal megosztásával bárki kipróbálhatja a módszert, és megtekintheti, hogyan téríthetőek el a felhasználók egy cseppet sem-hivatalos weboldalra.

A Facebook kijelentette, hogy nem fogja javítani a sebezhetőséget.

A példa persze szólhatna a manipulációról is, hiszen a támadónak elég keresnie egy közismert médiumnál egy félreérthető című cikket, amit a médium dizájnjával, de teljesen más, manipulatív tartalommal közzétesz egy saját oldalon, majd elhelyezi benne az említett kódrészletet – aminek következtében a Facebook-megosztásnál látszólag tökéletesen egyezni fog az eredetivel, annak hitelességét pedig még a gyakorlott internetezők sem fogják megkérdőjelezni.

Hogyan védekezhetünk?

Számítógépen mielőtt rákattintunk egy Facebook-megosztásra, érdemes a megosztás fölé vinnünk a kurzort, hogy a böngésző bal alsó sarkában ellenőrizhessük a tényleges webcímet, ahová vinne a kattintás.

Okostelefonon sajnos csak akkor látható a valódi URL, ha már megnyitottuk. Óvatos felhasználó a link másolása funkciót használva végezhet egy beillesztés és betöltés nélküli előzetes ellenőrzést.

Eseménynaptár
Következő esemény
2025.05.27 00:00
Infoparlament 2025.
5g koalíció
nea

Figyelem!

Bizotsan ki akarod törölni?
Igen